Säkerhet

[Wepe]

Hej!

Vad behöver man för säkerhet kring sin sajt egentligen. Är tex Access lättare att hacka än MySQL eller tvärt om?

 

Vilka tecken måste man skydda sej mot i inputfälten? Vet att MySQL är väldigt lätt att kapa med enkelfnutt (') och är det samma sak med access? Räcker det med att lägga in att alla enkelfnuttar blir två enkelfnuttar eller hur gör man?

 

Vad behöver man mer tänka på?

 

[Rest man Klaymen]

Är ju ingen expert men vad jag vet är MySQL säkrare eftersom det är riktiga databaser, medan Access mer är textfiler...

Jag kör själv med Access och dubblar alla enkelfnuttar, som du kallar dom, och det funkar fint...

 

det går att ladda ner databasen via http, så att man kan se alla lösenord och liknande, men då måste man förstås veta sökvägen till databasen.. detta ska inte gå med MySQL tydligen.

 

 

/ RMK

Jobbiga_färger.

 

[pudenda]

Precis. MySql och MSSQL, som nog är de vanligaste db för nätet är bra mycket säkrare än tex Access.

Och det där med ' eller " har ingeting med databasen att göra, den sparar bara det den får in. Utan det är alltså i själva koden i din sqlcommand som det kan bli fel om du kör in ett '.

 

tex: update tbl_apa set hej = '" & request("apa") & "'

om då request("apa") innehåller en ', då ser ju hela sqlsatsen ut så här när den är parsad:

update tbl_apa set hej = 'apa och ' tralala '

och då ser du själv att det skiter sig eftersom det finns 3 st '.

 

Därför så ska du generellt sett alltid "säkra" datan innan du sparar den.

 

 

Men för mer info om databAser föreslår jag att du ställer frågan i databasforumet, där det hänger riktiga db-galnignar som kan en helvetes massa mer än mig.

 

Lycka till, och skippa Access :-)

 

[Wepe]

det går att ladda ner databasen via http, så att man kan se alla lösenord och liknande...

 

tja det är inget hot om databasen ligger utanför www-rooten vad jag vet.

 

[Wepe]

Jo ska skippa access när jag hittar nåt vettigt verktyg att jobba med MySQL... Vill ju kunna dra ner kopior av databasen å sånt... Fast det finns säkert sånt också för MySQL... men då är det ju frågan om hotellet stöder det osv...

 

[Rest man Klaymen]

!!! åh vad jobbigt att behöva posta två gånger bara för att eforum sjabblar bort meddelanden!

 

hur som helst så kan man på vissa webhotell visst tanka databasen även om den ligger utanför wwwroot. tex på box sa dom att dom jobbade på problemet att mdb filen kan tankas från db-mappen

 

 

/ RMK

Jobbiga_färger.

 

[Wepe]

Jaha, MicroSunk förståss... varför ska det vara så svårt för dom att sätta säkerhet på den. Det är väl bara att inte tillåta utomstående att komma åt filen. Fast jag fattar inte hur det går till när den ligger utanför... men så är jag inte så hemma på servrar heller. Vet du hur det är med Loopia?

 

[Rest man Klaymen]

nä du får fråga dom..

 

själv har jag massa databaser och i väntan på att jag ska orka konvertera allt till mysql har jag döpt databasfilerna till namn som "xusjskel46.mdb" och liknande, just för att ingen ska kunna chansa på vad filen heter... om man däremot på något sätt får reda på det räcker det att skriva "http://www.domän.com/db/xusjskel46.mdb" så öppnas en spara-som ruta.. och då kan man komma åt en massa hemlig information i databasen

 

 

/ RMK

Jobbiga_färger.

 

[Xicxac]

Men när du lägger upp asp kod inom <% och %> så syns ju inte det...

 

[Rest man Klaymen]

nej exakt... men man vet ju aldrig vad folk lyckas med... det blir ju ingen NASA-säkerhet direkt bara för att man lägger det inom <% och %>

 

 

/ RMK

Jobbiga_färger.

 

[LL]

Hej

 

Har själv Loopia, de sa att om man la databasen utanför wwwroot så var det säkert.